AUDYT OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych była ważnym zagadnieniem w UE od ponad 20 lat, ale dopiero zatwierdzone w marcu 2016 roku GDPR (General Data Protection Regulations) w sposób kompleksowy uregulowało obszar ochrony danych osobowych i wyniosło go na zupełnie nowy poziom. GDPR zastąpiło wcześniejszą dyrektywę: 1995 EU Directive on data protection. W Polsce GDPR nosi nazwę Rozporządzenie o Ochronie Danych Osobowych (RODO).

Jaka jest różnica pomiędzy dyrektywą a rozporządzeniem ?

Dyrektywa to nic innego jak akt ustawodawczy Unii Europejskiej. Wymaga on, aby państwa członkowskie osiągnęły konkretny rezultat, bez narzucania sposobu jego osiągania. Dyrektywy zazwyczaj pozostawiają krajom UE pewną dozę swobody odnośnie dokładnych zasad, które należy przyjąć podczas przeniesienia do prawa krajowego.

Rozporządzenie     również     jest     aktem     ustawodawczym     Unii     Europejskiej. W przeciwieństwie do dyrektywy jednak staje się natychmiast wykonalne jako prawo, jednocześnie we wszystkich państwach członkowskich.

Dlaczego wdrożenie RODO jest tak istotne?

Po pierwsze, będzie się tyczyło praktycznie wszystkich organizacji, nawet tych nie zlokalizowanych w Europie. Wynika to z faktu, że RODO nakazuje ochronę i nakłada przepisy na każdą organizację, która przetwarza dane osobowe obywateli UE, niezależnie od miejsca w którym przetwarzanie ma miejsce.

Po drugie, koszty nie spełnienia wymagań RODO mogą być bardzo wysokie.

Po trzecie, ze względu na ilość obsługiwanych klientów jest bardzo prawdopodobne, że będą oni domagali się realizacji praw jakie przysługują osobie, której dane dotyczą, np. prawo do bycia zapomnianym czy wstrzymanie przetwarzania danych osobowych. Brak możliwości spełnienia tych praw (brak uregulowanych kwestii ochrony danych osobowych) niechybnie będzie wiązał się z kontrolą organu nadzorczego i karami finansowymi

Po czwarte, nowe uregulowania prawne wymagają wdrożenia zabezpieczeń zarówno organizacyjnych jak i technicznych. Działania jakie należy podjąć to między innymi:

Zabezpieczenia organizacyjne:

  • Powołanie inspektora ochrony danych osobowych (jeżeli jest taka potrzeba);
  • Udokumentowania obszaru ochrony danych osobowych;
  • Zapewnienia szkoleń dla pracowników;
  • Realizacja analizy ryzyka ochrony danych osobowych;
  • Prowadzenie rejestru czynności przetwarzania;
  • Zawarcie umów powierzenia danych osobowych;
  • Określenie celów przetwarzania;
  • Proces realizacji praw osób, których dane dotyczą;
  • Zarządzanie zmianą w systemach teleinformatycznych.

Zabezpieczenia techniczne:

  • Ochrona danych przed wyciekiem;
  • Zarządzanie podatnościami w systemach teleinformatycznych
  • Szyfrowanie danych;
  • Testy penetracyjne;
  • Nadzór nad urządzeniami mobilnymi;
  • Nadzór nad uprzywilejowanymi użytkownikami;
  • System anti-malware (bezpieczeństwo punktu końcowego).

Ostateczny wybór zabezpieczeń powinien być poprzedzony analizą ryzyka i zostać dostosowany indywidualnie do organizacji.

Należy pamiętać, że wszystkie wdrożone w związku z GDPR zabezpieczenia mogą obniżyć wysokość kar nałożonych na organizację w związku z niespełnieniem wymagań GDPR.

RODO jest skupione na kompleksowej ochronie danych osobowych, a nie jedynie na zapewnieniu ich poufności. Zgodności z nowymi regulacjami unijnymi wymaga więc działań proaktywnych i daleko idącego wysiłku organizacyjnego.